Forenzika

Sigurnost raSigurnost raččunala unala i podatakai podataka

VSiTe

RAČUNALNA FORENZIKA


• Cilj

– dati pregled što je računalna forenzika i kakvo je stanje

• Proći će se kroz

– što je računalna forenzika i specifičnosti na području baza podataka

– reakcije na incidente i računalna forenzika

– alati, komercijalni i open source

– primjene i uvoñenja alata u postojeće velike sustave


Dva osnovna motiva

• razvoj računalnih znanosti i

• razvoj računalnih incidenata tj užem smislu računalni kriminal


“Computer Forensics is simply the application of computer investigation and analysis techniques in the interest of determining potential legal evidence“

Judd Robbins

Formalno:• Računalna forenzika ili digitalna forenzika definira se kao prikupljanje,

zaštita i analiza dokaza u digitalnom obliku

• Prezentacija digitalnih dokaza kao materijalnih dokaza u kasnijim eventualnim sudskim postupcima..


Zahtjevi na postupak računalne forenzike

• Postupak mora biti dobro dokumentiran i rezultati moraju biti ponovljivi

• Princip "najbolji dokazni materijal" tj. analiza se radi na egzaktnoj kopiji a ne živom sustavu

• Lanac kontrole dokaza (Chain of custody) mora garantirati pouzdanost dokaza


Legalni kriteriji

• Da li je tehnika i postupak pouzdano testiran;

• Da li je tehnika i postupak objavljen, provjeren od znanstvene zajednice;

• Da li se pouzdano zna koja je vjerojatnost greške tehnike ili postupka;

• Da li je tehnika i postupak prihvaćena od znanstvene zajednice.


Koraci forenzičkog postupkaPriprema◦ priprema alata i opreme potrebne za forenzički postupak;

Prikupljanje◦ prikupljanje dokumenta, logova, datoteka i izrada kopija fizičkih

objekata koji sadrže elektroničke dokaze

Ispitivanje dokaza◦ izdvajanje dokaza iz prikupljenog materijala

Analiza◦ analiza dokaza prikupljenih u koraku ispitivanja dokaza

Izvještavanje◦ izrada izvještaja o nalazima


Računalna forenzika -obzirom na obuhvat sustava

Forenzika pojedinačnog računala (host based)

• najčešći slučaj - analize radne stanice

• ulazi i forenzika aplikacije

Mrežnu forenziku (network enabled), • analizu sustava na razini mreže, analizu prometa na mreži, upravljanja

mrežom

Forenzika logova sustava (system log forensic)


Specifiččččnosti forenzike poslužžžžitelja baza podatka i baza podataka

Sličnosti:� forenzičke metode koje se koriste su iste kao i za druge složene

računalne sustave

Razlike:� zahtjevi maksimalne raspoloživosti sustava,

� veliki volumen podataka,

� visoka pouzdanost podataka,

� neprihvatljivost zaustavljanja sustava � ograničena ekspertiza raspoloživa u trenutku incidenta


Dodatne specifičnosti forenzike sustava baza podataka

Način na koji se dolazi do pokretanja forenzičkog postupka (otkrića incidenta )

– većina „data breach“ incidenata otkriva se naknadno i izvana

– otežano otkrivanje tragova i vektora ulaska


Standardni koraci računalne forenzike– Pokretanje dokumentiranog opisa dogañaja u sustavu

– Identificiranje i kontrola incidenta

– Izrada i pohrana datoteka sa elektroničkim dokazima u lancu odgovornosti o dokazima

– Oporavak usluga i vraćanje / rekonstrukcija obrisanih podataka

– Prikupljanje i klasificiranje metadata podataka po vremenu

– Povezivanje svih informacija o dogañajima u lanac dogañaja na osnovi vremena

– Analiza metadata timelinea

– Dokumentiranje cijelog forenzičkog procesa

– Korištenje rezultata u daljim koracima

– Detaljna analiza ključnih podatka


Računalna forenzika - po pristupu

Proaktivna računalna forenzika

� primjeni metoda računalne forenzike na zdravom sustavu kako za dobivanje baseline sustava.

Retroaktivna računalna forenzika (klasična forenzika)

� Primjena i bez proaktivne ali puno manja efikasnost

Preduvjet za forenziku je kvalitetna administracija sustava


Rezultat forenzičkog postupka završno izvješće o incidentu• Završno izvješće o incidentu

sadrži relevantne podatke o incidentu;

glavni cilj - podizanje razine sigurnosti;

informacije iz tog izvješća moraju omogućiti:

• prepoznavanje izvora napada;

• prepoznavanja i uklanjanje sigurnosnih propusta

�Koristi se u sklopu procesa za upravljanje sigurnosnim incidentima

• Računalna forenzika kao dio procesa kontrole incidenata i kao dio procesa nadzora sustava


• Alati i ekspertiza

– Postoje alati za forenziku računalnog sustava na nivou operacijskog sustava i sklopovlja

– Ne postoje alati forenziku baze podataka i pripadne aplikacije

– Ekspertiza vrlo rijetka


Komercijalni alati ili Opensource

• Nema idealnog alata

– može postojati zahtjevani alat!

• Prednost sa pravne strane na komercijalnim alatima

• Opensource dodatni / kontrolni

• Filozofija odabira ista kao i za druge korporativne sustave

– ključno je što mislite raditi i kako, u vašem sustavu

• Na samim bazama – open source ili home made dominiraju


Alati

• EnCase guidance software

• FTK

• Helix CD

• The Coroner's Toolkit (TCT)

• logminer

• Mnogi drugi


ENCASE

� Encase je prvenstveno moćan alat, ali sam po sebi ne garantira uspješne rezultate istrage u kompjuterskoj forenzici, pa je od ključne važnosti stručnost i znanje forenzičara koji se alatom koristi.

� Forenzičar mora dobro poznavati operativni sustav koji istražuje (Windows, MacOS, Unix, Linux) i file system koji se koristi (npr. FAT, NTFS itd.). Operativni sustavi ostavljaju razne tragove u internim zapisima koji mogu biti od ključne važnosti prilikom istrage (u slučaju Windowsa to su npr. linkovi na „Most Recently Used“ fileove, ikone u thumbs.db fileovima, interni zapisi u link fileovima, razni zapisi u registryu itd.)


ENCASE

� Kod istrage je vrlo važno znati što se točno traži, ali isto tako možemo se i voditi se logikom da su potencijalno interesantni svi podaci i tragovi koje je korisnik pokušao ukloniti, a Encase nam u tome umnogome pomaže (izbrisani fileovi, izbrisane particije, promijenjene ekstenzije fileova, slike u slojevima kod kojih je stvarni sadržaj obično skriven ispod najgornjeg sloja, ručne promjene sistemskog sata, detekcija šifriranih fileova itd.)


� Osnovne značajke EnCase forenzičkog alata su:

◦ Izvještaji su automatski prihvaćeni od strane sudova EU i USA◦ Ne-invazivni alat za forenzičke istrage◦ Prilagoñen forenzičkim istragama na velikim količinama

podataka◦ Podrška za FAT, FAT32, NTFS, Apple, Unix, Linux

operacijske sustave◦ Omogućava obavljanje svih nužnih forenzičkih istraga◦ Uključuje i programski jezik EnScript za automatizaciju

pojedinih istraga



Potencijalni digitalni dokaz?• Address Books• Email files• Audio/Video files• Image/graphics files• Calendars• Database files• Spreadsheet files• Compressed files• Misnamed Files• Encrypted Files• Hidden Files• Password Protected Files

• File system artifacts• Backup files• Log files• Configuration files• Printer spool files• Cookies• Swap files• Hidden files• System files• History files• Temporary files• Documents and text files• Internet bookmarks/favorites


PRIMJER

• Informacije o novom mobilnom telefonu “procurile” u javnost

• Putem LAN mreže otkrio krivca

• Utvrñeno:

– S kojeg računala je poslan e-mail, kada i kome

– Točan sadržaj e-maila

– Osoba koje je poslala e-mail

– Djelatnik je suspendiran


• Primjene i uvoñenja alata u postojeće velike sustave

– dio incident responsa (IR)

– dio preventivne pripreme

• Samo novi pogled na stare prokušane tehnike kontrole sustava

– dobra administracija sustva

• Dio pripreme za nastavak poslovanja

– bitno razumjevanje važnosti


�Računalna forenzika je dio kontrole i oporavka od incidenta� prepoznavanje mogućnosti računalne forenzike

�U dogledno vrijeme možemo očekivati sve veću pojavu i objavljivanje incidenata

�incidenti se ne mogu više držati unutar kuće

�incidenati moraju biti legalno ispravno odrañeni

�Korištenje metoda računalne forenzike mora biti sustavno i kao takvo ugrañeno u organizaciju �Potrebna znanja i postupci moraju biti prepoznati kao nešto što se mora imati na raspolaganjuBez takvog pristupa računalni sustavi su izuzetno ugroženi


www.databasesecurity.com

Krovni site za forenziku baza podataka

www.databasesecurity.com/oracle-forensics.htm

Oracle forenzika

www.sans.org/reading_room

Različiti aspekti računalne sigurnosti

forensics.sans.org/community/downloads/

"SANS Computer forensic and E-Discovery"SANS portal za računalnu forenziku

Forenzika

Documents

je raunalna forenzika

raunalna forenzika

uvoenja alata

sans

databasesecurity

unix